日期:2011-05-02 15:21:00 来源:本站整理
保护 SQL Server 数据库的十大绝招[MSSQL防范]
本文“保护 SQL Server 数据库的十大绝招[MSSQL防范]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
1.安装最新的服务包
为了提高服务器安全性,最有效的一个办法就是进级到 sql server 2000 Service Pack 3a (SP3a).
别的,您还应当安装全部已公布的安全更新.
2.利用 Microsoft 基线安全性解析器(MBSA)来评价服务器的安全性
MBSA 是一个扫描多种 Microsoft 产品的不安全配置的工具,包含 SQL Server 和 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000).它可以在本地运行,也可以通过网络运行.该工具针对下面问题对 SQL Server 安装举行检测:
1) 过量的sysadmin固定服务器角色成员.
2) 授与sysadmin以外的其他角色成立 CmdExec 功课的权利.
3) 空的或简单的密码.
4) 脆弱的身份考证情势.
5) 授与管理员组过量的权利.
6) SQL Server数据目录中不精确的拜候掌握表(ACL).
7) 安装文件中利用纯文本的sa密码.
8) 授与guest帐户过量的权利.
9) 在同时是域掌握器的系统中运行SQL Server.
10) 全部人(Everyone)组的不精确配置,供应对特定注册表键的拜候.
11) SQL Server 服务帐户的不精确配置.
12) 没有安装必要的服务包和安全更新.
Microsoft 供应 MBSA 的免费下载.
5.分配一个健旺的sa密码
sa帐户应当总拥有一个健旺的密码,即便在配置为要求 Windows 身份考证的服务器上也该如此.这将保证在今后服务器被重新配置为混合情势身份考证时,不会呈现空白或脆弱的sa.
要分配sa密码,请按下列步骤操作:
1) 展开服务器组,然后展开服务器.
2) 展开安全性,然后点击登录.
3) 在细节窗格中,右键点击SA,然后点击属性.
4) 在密码方框中,输入新的密码.
6.限制 SQL Server服务的权限
SQL Server 2000 和 SQL Server Agent 是作为 Windows 服务运行的.每个服务必须与一个 Windows 帐户相关联,并从这个帐户中衍生出安全性上下文.SQL Server答应sa 登录的用户(有时也包含其他用户)来拜候操作系统特点.这些操作系统调用是由拥有服务器进程的帐户的安全性上下文来成立的.假如服务器被攻破了,那么这些操作系统调用大概被操纵来向其他资源举行攻击,只要所拥有的历程(SQL Server服务帐户)可以对其举行拜候.因此,为 SQL Server 服务仅授与必要的权限是非常重要的.
我们举荐您采取下列设置:
1) SQL Server Engine/MSSQLServer
假如拥有指定实例,那么它们应当被命名为MSSQL$InstanceName.作为具有普通用户权限的Windows 域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.
2) SQL Server Agent Service/SQLServerAgent
假如您的环境中不需求,请禁用该服务;不然请作为具有普通用户权限的Windows域用户帐户运行.不要作为本地系统、本地管理员或域管理员帐户来运行.
重点: 假以下列条件之一成立,那么 SQL Server Agent 将需求本地 Windows管理员权限:
SQL Server Agent 利用尺度的 SQL Server 身份考证衔接到SQL Server(不举荐).
SQL Server Agent 利用多服务器管理主服务器(MSX)帐户,而该帐户利用尺度 SQL Server 身份考证举行衔接.
SQL Server Agent 运行非sysadmin固定服务器角色成员所拥有的 Microsoft ActiveX?脚本或 CmdExec 功课.
假如您需求更改与 SQL Server服务相关联的帐户,请利用 SQL Server Enterprise Manager.Enterprise Manager 将为 SQL Server 所利用的文件和注册表键设置符合的权限.不要利用 Microsoft 管理掌握台的"服务"(在掌握面板中)来更改这些帐户,因为这样需求手动地调制大量的注册表键和NTFS文件系统权限以及Micorsoft Windows用户权限.
帐户信息的更改将在下一次服务启动时见效.假如您需求更改与 SQL Server 以及 SQL Server Agent 相关联的帐户,那么您必须利用 Enterprise Manager 辨别对两个服务举行更改.
7.在防火墙上禁用 SQL Server 端口
SQL Server 的默许安装将监督 TCP 端口 1433 以及UDP端口 1434.配置您的防火墙来过滤掉到达这些端口的数据包.并且,还应当在防火墙上禁止与指定实例相关联的其他端口.
8.利用最安全的文件系统
NTFS 是最合适安装 SQL Server 的文件系统.它比 FAT 文件系统更安定且更简单恢复.并且它还包含一些安全选项,比方文件和目录 ACL 以及文件加密(EFS).在安装历程中,假如侦测到 NTFS,SQL Server 将在注册表键和文件上设置符合的 ACL.不该该去更改这些权限.
通过 EFS,数据库文件将在运行 SQL Server 的帐户身份下举行加密.只有这个帐户才能解密这些文件.假如您需求更改运行 SQL Server 的帐户,那么您必须首先在陈帐户下解密这些文件,然后在新帐户下重新举行加密.
9.删除或保护旧的安装文件
SQL Server 安装文件大概包含由纯文本或简单加密的凭证和其他在安装历程中记录的敏感配置信息.这些日记文件的保存位置取决于所安装的SQL Server版本.在 SQL Server 2000 中,下列文件大概遭到影响:默许安装时<systemdrive>:\Program Files\Microsoft SQL Server\MSSQL\Install文件夹中,以及指定实例的<systemdrive>:\Program Files\Microsoft SQL Server\ MSSQL$<Instance Name>\Install文件夹中的sqlstp.log, sqlsp.log和setup.iss
假如当前的系统是从 SQL Server 7.0 安装进级而来的,那么还应当查抄下列文件:%Windir% 文件夹中的setup.iss以及Windows Temp文件夹中的sqlsp.log.
Microsoft公布了一个免费的实用工具 Killpwd,它将从您的系统中找到并删除这些密码.
10.考核指向 SQL Server 的衔接
SQL Server 可以记录事件信息,用于系统管理员的检查.至少您应当记录失利的 SQL Server 衔接尝试,并按期地查看这个日记.在大概的情形下,不要将这些日记和数据文件保存在同一个硬盘上.
要在 SQL Server 的 Enterprise Manager 中考核失利衔接,请按下列步骤操作:
1) 展开服务器组.
2) 右键点击服务器,然后点击属性.
3) 在安全性选项卡的考核等级中,点击失利.
4) 要使这个设置见效,您必须终止并重新启动服务器.
以上是“保护 SQL Server 数据库的十大绝招[MSSQL防范]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论